关键漏洞信息 漏洞详情 CVE编号: CVE-2025-45083 发布状态: 已发布 链接: https://nvd.nist.gov/vuln/detail/CVE-2025-45083 描述 Ullu App Android v2.0.920, 108 v2.6.0 和 Ullu Web Platform 存在不正确的访问控制漏洞。攻击者可以通过暴力破解技术绕过家长PIN保护功能,因为缺乏对PIN输入的限制或锁定机制。 影响 1. 绕过家长控制,暴露受限制内容给未经授权的用户 2. 违反内容可访问性保护,特别是对未成年人 3. 通过绕过访问限制提升权限 4. 与年龄限制内容交付相关的法律和合规风险 攻击场景 - Web 1. 用户导航到 https://ullu.app/ 2. 捕获输入家长PIN时触发的HTTP请求 3. 使用自动化脚本(如Burp Intruder或自定义Python脚本)暴力破解4位PIN 4. 在未触发任何防暴力破解机制的情况下禁用家长控制 技术细节 漏洞类型: 不正确的访问控制 CWE分类: CWE-284 - 不适当的访问控制 受影响版本: - Android应用: v2.0.920 (Play Store) - iOS应用: v2.6.0 (App Store) - Web平台: https://ullu.app/ 受影响产品 1. Ullu Web平台: https://ullu.app/ 2. Ullu Android应用: Google Play链接 (v2.0.920) 3. Ullu iOS应用: App Store链接 (v2.6.0) 厂商信息 厂商: Ullu 网站: https://ullu.app/ 概念验证 (PoC) Web: 1. 拦截输入家长PIN时触发的HTTP请求 2. 使用脚本或Burp Intruder遍历8000-9999 PIN 3. 家长PIN最终被破解,受限制内容变得可访问 4. PoC视频: YouTube链接 应用: 1. 使用代理(如Burp Suite)或本地工具(如Frida) 2. 确定验证PIN的端点或本地逻辑(Frida) 3. 使用自动化输入或请求发送暴力破解所有4位PIN组合 4. 成功的PIN破解结果是解锁成人内容 5. PoC视频: YouTube链接 发现者 Ishaan Kumar